Webfonts, Google Analytics und Cookiebot

Das visionbites DSGVO-Update 2022

Das Jahr 2022 brachte einige juristische Entscheidungen, mit denen sich Website-Verantwortliche auseinandersetzen müssen. Während Österreich und Frankreich Google Analytics als nicht DSGVO-konform einstuften, urteilte das Münchner Landgericht zur Einbindung von Webfonts wie Google Fonts und fonts.com: Werden diese von externen Servern ohne explizite Zustimmung des Users über eine Consent-Management-Lösung geladen, liegt ein Verstoß gegen die DSGVO vor (auch mit dem Hinweis auf das berechtigte Interesse des Websitebetreibers). Bereits Ende 2021 urteilte das Verwaltungsgericht Wiesbaden, dass die weit verbreitete Einbindung des Cookiebots problematisch ist.

Technische Fragen zur DSGVO? Wir beraten Sie gerne!

Webfonts

Webfonts: Viele Websites verwenden spezielle Schriften (Fonts), die über externe Dienste auf den Webseiten eingebunden werden. Diese Lösung kann dazu führen, dass die IP-Adressen der Website-Besucher an den Anbieter der Schriften übertragen werden. Desalb müssen diese Schriften beim ersten Aufrufen der Website geblockt werden und dürfen erst nach der Zustimmung durch den User geladen werden. Der Verweis in der Datenschutzerklärung auf das "berechtigte Interesse" des Seitenbetreibers reicht entsprechend dem Urteil des Landgerichts München vom 20.01.2022 nicht aus, um die Vorgaben der DSGVO einzuhalten. Inzwischen sind auch die ersten Website-Betreiber wegen des Themas abgemahnt worden. 

Google Fonts: Die Fonts von Google müssen beim Seitenaufruf technisch nicht zwingend von den Google-Servern geladen werden. Werden die Schriften selbst gehostet, findet auch kein Datenaustausch mit Google statt.

Webfonts wie fonts.com: Schwieriger ist es mit kostenpflichtigen Fonts von Anbietern wie zum Beispiel fonts.com. Um diese Dienste nutzen zu können, verlangen die Betreiber in der Regel eine Überwachung der Zugriffe auf die Schriften zu Abrechnungszwecken ­– dazu ist zwingend eine Verbindung zu den Servern des Betreibers nötig (im Fall von fonts.com ist das Monotype aus den USA).

Wir empfehlen:

Stellen Sie Google Fonts auf die selbst gehostete Variante um. Blocken Sie die Fonts anderer Anbieter mit dem visionbites Consent Manager und holen Sie so die Zustimmung Ihrer User ein. Außerdem sollten Sie beim ersten Laden der Seite eine freie Alternativ-Schrift verwenden, die der zu ladenden Schrift ähnelt: Damit vermeiden Sie einen optischen Bruch und die Texte "springen" nicht, wenn die Schriften nachgeladen werden.  

Sie sind sich unsicher, ob auf Ihrer Seite Handlungsbedarf besteht? Wir analysieren Ihre Seite und geben Ihnen konkrete Handlungsempfehlungen, um die Daten Ihrer User optimal zu schützen.

Was können wir für Sie tun?

Bitte stimmen Sie alle DSGVO-relevanten Belange immer mit Ihrem Rechtsanwalt oder Datenschutzbeauftragten ab.

Google Analytics

Anfang 2022 haben Gerichte in Frankreich und Österreich entschieden, dass die Nutzung von Google Analytics gegen die DSGVO verstößt. Das betrifft Webseitenbetreiber in Deutschland zwar erst einmal nicht – allerdings ist zu erwarten, dass deutsche Gerichte sich der Argumentation der Gerichte aus den europäischen Partnerländern anschließen. 

Eine gute Zusammenfassung der Details finden Sie bei e-recht24.

Wir empfehlen: Analysieren Sie Ihren Bedarf für eine Website-Tracking-Lösung. Benötigen Sie das Tracking überhaupt? Und wenn ja, muss es Google Analytics sein, oder reicht eine sicher DSGVO-konforme, selbstgehostete Alternative? Selbstverständlich sollten Sie bei allen Tracking-Tools immer die Zustimmung der User über eine geeignete Consent-Management-Lösung einholen.    
 

Sie möchten Ihr User-Tracking DSGVO-konform gestalten?

Wir beraten Sie gerne

Cookiebot laut Verwaltungsgericht Wiesbaden nicht DSGVO-konform

Im Dezember 2021 urteilte das Verwaltungsgericht Wiesbaden zu der weit verbreiteten Consent-Management-Lösung von Cookiebot. Da der Cookiebanner von einem externen Server aus den USA eingebunden wird, bevor eine Zustimmung der User erfolgt, wird mit der IP-Adresse ein personenbezogenes Datum ohne Zustimmung in die USA übermittelt (Urteil des Verwaltungsgerichts Wiesbaden). Auch wenn der Hessische Verwaltungsgerichtshof das Urteil inzwischen aufgrund der Form des Eilverfahrens aufgehoben hat, besteht das grundlegende Datenschutz-Problem unserer Meinung nach weiter.

Wir empfehlen deshalb: Binden Sie generell keine externen Scripte ein, die dazu dienen, der Einbindung externer Scripte zuzustimmen. Der visionbites Consent Manager läuft deshalb komplett auf Ihrem Server –­ ohne externe Scripte oder andere Ressourcen.

Consent Management von visionbites

Schon mit den Urteilen des EuGH vom Oktober 2019 und dem BGH vom Mai 2020 hat die Rechtsprechung unserer Meinung nach klargemacht, dass externe Dienste nur geladen und deren Cookies nur gesetzt werden dürfen, wenn der User explizit zugestimmt hat. Das gilt auch für das Speichern personenbezogener Daten auf den Servern externer Anbieter. Wir empfehlen deshalb schon seit 2019 auf Nummer Sicher zu gehen und auch für technisch notwendige Cookies die Zustimmung der Nutzer einzuholen.

Consent Management

Wir analysieren Ihre Seite, identifizieren problematische Elemente und implementieren Schritt für Schritt ein DSGVO-konformes Management Ihrer Cookies und externen Dienste:

  1. Analyse der eingesetzten externen Dienste und Cookies (Youtube, Google Analytics, Facebook, Google Maps etc.)
  2. Deaktivierung der Dienste und Verhindern des Setzens von Cookies auf den Geräten der User
  3. Integration des Cookie Banners zur Aktivierung der vom User gewünschten Dienste und Cookies per Opt-in
  4. Unterstützung von technischer Seite bei der Aktualisierung Ihres Datenschutz-Textes

Vorteile des visionbites Consent Managers

  • Der Consent Manager funktioniert plattformübergreifend und ist so nicht nur mit TYPO3, Kirby, Wordpress oder Shopware kompatibel, sondern auch mit selbstentwickelten Web-Applikationen.
  • Das intuitive User Interface unseres Consent Managers lässt sich individuell an Ihr Corporate Design anpassen.
  • Der Consent Manager ist als klassischer Cookie Banner oder mit Full Page Overlay einsetzbar. Das Full Page Overlay erzwingt einen User-Consent ohne den eine weitere Nutzung des Webangebots nicht möglich ist.
  • In der Variante Full Page Overlay können einzelne Seiten – wie Impressum und Datenschutz – zur Anzeige freigegeben werden.
  • Der Consent Manager läuft auf Ihrem Server, ohne externe Services oder Libraries und ohne monatliche Kosten für ein Abo.

Externer Inhalt - Mapbox

An dieser Stelle finden Sie Inhalte eines Drittanbieters, die Sie mit einem Klick anzeigen lassen können.

Dadurch können personenbezogene Daten an den Dienst Mapbox übermittelt werden. Mehr Informationen finden Sie in unseren Datenschutzbestimmungen.

Beispiel-Integration mit Mapbox-Karte

Nicht aktivierte Dienste können jederzeit über die Cookie-Einstellungen oder direkt beim geblockten Element durch Zustimmung in der Overlay-Grafik angezeigt werden.

Datenschutz-Einstellungen ändern

Hinweis: Manche Einstellungen werden erst nach einem Reload der Seite aktiv. 

Dr. Nepomuk Gasteiger | Geschäftsführer

Sie suchen eine Digital-Agentur aus München mit einem Faible für Datenschutz?

Gemeinsam schützen wir die Daten Ihrer Kunden! info@visionbites Let's go ✉

Externer Inhalt - Mapbox

An dieser Stelle finden Sie Inhalte eines Drittanbieters, die Sie mit einem Klick anzeigen lassen können.

Dadurch können personenbezogene Daten an den Dienst Mapbox übermittelt werden. Mehr Informationen finden Sie in unseren Datenschutzbestimmungen.

Kontakt